Angrepet er rettet mot en kritisk sårbarhet i en Wordpress-utvidelse kalt Slider Revolution (RevSlide).
Mer enn 100.000 nettsteder er kapret og omfanget øker time for time.
Det melder websikkerhetsselskapet Sucuri, som oppgir at denne sårbarheten ble kjent for flere måneder siden.
Wordpress er verdens mest brukte publiseringsplattform med anslagsvis 70 millioner installasjoner.
RevSlider er en såkalt premium plugin med betalt lisens. Utgiveren advarer mot den kritiske sårbarheten og ber brukerne oppgradere til nyeste versjon. Men ifølge Sucuri er det lettere sagt enn gjort.
Utvidelsen er ofte levert som del av et Wordpress-tema og mange nettstedeiere aner ikke at de har RevSlider, langt mindre hvordan de kan oppgradere, mener selskapet.
Angrepet som utnytter sårbarheten blir beskrevet som sofistikert.
Sucuri har et skanneverktøy hvor det er mulig å sjekke om et nettsted er kompromittert.
– Vi får rapporter om at mange anbefaler at de som er rammet bare erstatter filene swfobject.js og template-loader.php for å rense vekk infeksjonen. Det fjerner infeksjonen, men er ikke tilstrekkelig, skriver selskapets teknologisjef Daniel Cid i en kunngjøring.
«Pepret»
Selve Wordpress-installasjonen blir nemlig manipulert på flere nivåer. Det inkluderer både scriptfiler, forgiftede bildefiler og endringer i den underliggende databasen. Blant annet etableres det flere ulike bakdører, som senere kan utnyttes, inkludert nye administrator-kontoer.
– Regn med at du er pepret med bakdører og infeksjoner. Det er ikke nok å rense filene, du må også stanse alle de ondsinnede angrepene. Det bør gjøres med en brannmur, påpeker Daniel Cid.
Google sørget i helgen for å svarteliste 11.000 domener for å begrense skaden. Angrepet er døpt SoakSoak etter et russisk domene som blir brukt i angrepet.
Det er ikke første gangen Sucuri har avdekket kritiske feil i Wordpress-plugins. I sommer advarte selskapet om funn av sårbarheter i minst fire utvidelser. Samlet var disse lastet ned 20 millioner ganger, ifølge ZDnet.
